Autoriteit Persoonsgegevens verhängt 400.000 Euro Bußgeld gegen Transavia

Niederlande: Das vorliegende Bußgeld steht mit einer Datenpanne im Zusammenhang, welche die Airline der niederländischen Datenschutzbehörde nach Art. 33 DSGVO gemeldet hatte.
Einem Hacker war es im Jahre 2019 gelungen, in die IT-Systeme von Transavia einzudringen. Dadurch erhielt der Angreifer potenziellen Zugang zu den Daten von 25 Mio. Fluggästen. Zu diesen zählten unter anderem die Namen, Geburtsdaten, Geschlechter, E-Mail-Adressen, Telefonnummern, Fluginformationen und Buchungsnummern der Betroffenen. Die Daten von 83 Tsd. Passagieren wurden dabei nachweislich vom Cyber-Kriminellen abgeschöpft, darunter eine Liste mit Passagierdaten aus dem Jahre 2015. In 367 Fällen enthielten die gestohlenen Daten auch Informationen über den gesundheitlichen Zustand der Reisenden, z.B. dass sie einen Rollstuhl mitnehmen würden oder zusätzliche Dienstleistungen beantragt hatten, weil sie blind oder taub waren.
Der Hacker war über zwei Konten der IT-Abteilung von Transavia in die Systeme eingedrungen. Wie die Behörde im Rahmen ihrer Untersuchung feststellte, hatten mangelnde Sicherheitsvorkehrungen aufseiten des Bußgeldempfängers diesen Angriff ermöglicht. So war keine Multi-Faktor-Authentisierung eingesetzt worden, sodass der Login in die Konten allein mit einem Passwort möglich war. Die verwendeten Passwörter waren dabei leicht zu erraten. Des Weiteren waren die Zugriffsrechte der Konten nicht auf notwendige Systeme beschränkt, sodass der Hacker über sie Zugang zu mehreren Transavia-Systemen erhielt.
Dies wertete die Behörde als eine Verletzung der Pflicht von Transavia, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten. .

Veröffentlicht am: 12-11-2021

Quelle von dsgvo-portal.de